Jakie zasady przetwarzania danych osobowych wprowadza RODO?
W jaki sposób przetwarzać dane osobowe, aby realizować założenia RODO? Jak postępować, by nie łamać nakładanych przez nie obowiązków?
- Co to jest RODO?
- Privacy by design
- Privacy by default
- Zasada zgodności z prawem, rzetelności i przejrzystości
- Zasada ograniczenia celu przetwarzania danych
- Zasada minimalizacji danych
- Zasada prawidłowości danych
- Zasada ograniczenia przechowania danych
- Zasada integralności i poufności
- Zasada rozliczalności
Co to jest RODO?
RODO to przyjęte w 2016 roku, a obowiązujące od 2018, rozporządzenie dotyczące przetwarzania danych osobowych. Wprowadza ono przepisy regulujące, w jaki sposób administrator powinien się z takimi danymi obchodzić – owe zasady przetwarzania danych osobowych według RODO przytaczane są na blogu kancelarii prawnej Informatica Legis. Czym więc w świetle tych przepisów administratorzy danych muszą się teraz kierować?
Privacy by design
Ta zasada mówi o tym, że administrator powinien przy określaniu sposobów przetwarzania danych, a także w trakcie samego przetwarzania, wdrożyć odpowiednie środki techniczne i organizacyjne, by skutecznie realizować zasady ochrony danych.
Privacy by default
Ta zasada mówi, że ochrona danych osobowych powinna stanowić domyślne ustawienie każdego programu. Każda zatem aplikacja, usługa czy portal powinny mieć domyślną ochronę prywatności ustawioną automatycznie.
Zasada zgodności z prawem, rzetelności i przejrzystości
Co do zgodności z prawem, chodzi o to, by dane osobowe były przetwarzane na podstawie przesłanek zawartych w art. 6 lub 9 RODO. Jak natomiast należy rozumieć rzetelność i przejrzystość? Otóż kluczem jest tu prawidłowe realizowanie przez administratora obowiązków informacyjnych. Należy posługiwać się przy tym jasną, prosta i zrozumiałą formą komunikacji.
Zasada ograniczenia celu przetwarzania danych
W myśl tej zasady cel przetwarzania danych musi być wyraźnie określony oraz oczywiście zgodny z prawem. Pewne wyjątki pozwalają na przetwarzanie danych w innych celach niż te, w jakich zostały one zebrane. W porównaniu do wcześniej obowiązujących przepisów, RODO wprowadza też nowy cel przetwarzania danych – archiwalny w interesie publicznym.
Zasada minimalizacji danych
W minimalizowaniu danych chodzi o to, by zakres przetwarzanych danych nie przekraczał tego, jaki jest niezbędny, by uzyskać cel, dla którego są one owemu przetwarzaniu poddawane. Zasada ta jest jednym z głównych warunków dopuszczających przetwarzanie danych do celów naukowych, historycznych, statystycznych lub archiwalnych w interesie publicznym. Przetwarzanie danych powinno mieć miejsce jedynie wtedy, gdy określony cel nie może być osiągnięty innymi środkami.
Zasada prawidłowości danych
Ta zasada nakłada na administratora konieczność stworzenia takich organizacyjnych i technicznych rozwiązań, dzięki którym będzie się dało korygować nieprawidłowe lub nieaktualne dane.
Zasada ograniczenia przechowania danych
Ta zasada dotyczy okresu przetwarzania danych. Zgodnie z nią nie powinien on być dłuższy niż czas, który jest niezbędny do osiągnięcia założonego celu. Dane mogą być przetwarzane dłużej jedynie do celów statystycznych, badań naukowych lub historycznych, oraz archiwalnych w interesie publicznym, i to też tylko pod warunkiem, że zostaną wdrożone odpowiednie środki organizacyjne i techniczne. Ograniczenie okresu przechowywania danych osiąga się wdrażając procedury wyznaczające terminy, czyli okresy retencji, oraz procedury określające terminy okresowych przeglądów takich danych.
Zasada integralności i poufności
Ta zasada wprowadzona przez RODO nie ma swojego odpowiednika w poprzednio obowiązującej UODO. Nakłada ona na administratora obowiązek wdrożenia takich środków organizacyjnych i technicznych, które będą mogły zapewnić danym bezpieczeństwo.
Zasada rozliczalności
Zasada ta ma odniesienie do wszystkich innych zasad przetwarzania danych osobowych. Zgodnie z nią, administrator musi być w stanie wykazać, że podejmując się przetwarzania danych osobowych, postępował zgodnie z wyżej wymienionymi zasadami. Jeśli zajdzie potrzeba, będzie musiał udowodnić, że podjęte przez niego decyzje były analizowane pod względem zgodności ze wspomnianymi zasadami.